Los sitios en la dark web del grupo de ransomware BlackSuit, incluyendo su portal de filtración de datos y sus paneles privados de negociación, han sido desactivados como parte de lo que parece ser una operación internacional a gran escala por parte de las autoridades.

El 24 de julio, el principal sitio del grupo —habitualmente accesible a través de la red TOR— mostró un mensaje que decía:
“Este sitio ha sido incautado por Investigaciones de Seguridad Nacional de EE. UU. como parte de una investigación internacional coordinada de aplicación de la ley.”

Aunque no se ha emitido un comunicado oficial hasta el momento, el aviso indica que la operación, bautizada como Operación Checkmate, fue coordinada por el Departamento de Justicia de EE. UU. (DoJ) en conjunto con 16 agencias de seguridad de nueve países.

Entre las entidades participantes se encuentran EE. UU., Reino Unido, Ucrania, Letonia, Europol y la empresa de ciberseguridad Bitdefender, con sede en Rumanía y EE. UU.

De Conti a BlackSuit: Evolución de una Amenaza

BlackSuit surgió en mayo de 2023 y ha sido vinculado con 184 víctimas, según datos del sitio de monitoreo Ransomware.live. Se cree que el grupo es una evolución del ransomware Royal, el cual, a su vez, era sucesor de Conti, un grupo notoriamente activo entre 2019 y 2022.

Conti fue responsable de ataques de alto perfil, como el ciberataque de 2022 contra el gobierno de Costa Rica. Tras su disolución, algunos de sus miembros formaron Royal, responsable del ataque a la ciudad de Dallas en mayo de 2023, que interrumpió servicios municipales y comprometió más de un terabyte de datos.

En ese mismo mes, Royal empezó a utilizar un nuevo encriptador llamado BlackSuit, marcando así su rebranding. A diferencia de otros grupos, BlackSuit no opera bajo el modelo Ransomware-as-a-Service (RaaS), sino que mantiene sus herramientas de uso exclusivo.

Ataques Significativos y Tácticas Sofisticadas

Desde su creación, BlackSuit ha estado implicado en múltiples ataques importantes:

• Abril 2024: ataque a Octapharma Plasma, afectando más de 160 centros de donación de plasma en EE. UU.
• Junio 2024: ataque a CDK Global, proveedor de software para 15,000 concesionarios de autos en Norteamérica, causando interrupciones operativas y pérdidas estimadas de mil millones de dólares.

Otros objetivos incluyen ZooTampa, el gobierno de Brasil y Western Municipal Construction.

BlackSuit aplica tácticas de doble extorsión, cifrando datos y amenazando con divulgarlos públicamente. Además, se ha observado el uso de herramientas legítimas de monitoreo remoto para mantener el acceso a las redes de sus víctimas.

De acuerdo con una alerta de la Agencia de Ciberseguridad e Infraestructura (CISA) de EE. UU. en agosto de 2024, sus exigencias de rescate oscilaban entre 1 y 10 millones de dólares en Bitcoin, con una demanda máxima registrada de 60 millones de dólares.
En total, BlackSuit habría exigido más de 500 millones de dólares en apenas dos años de actividad.

¿Reaparición Bajo Otro Nombre?

Pese al cierre de parte de su infraestructura, ningún miembro del grupo ha sido arrestado, y algunos podrían estar detrás de una nueva amenaza.

El 24 de julio, un informe de Cisco Talos sugirió que el grupo emergente Chaos podría ser una nueva identidad de BlackSuit.

Según el reporte:
“Evaluamos con confianza moderada que el nuevo grupo de ransomware Chaos es una reestructuración de BlackSuit (Royal), o está operado por antiguos miembros del mismo.”

Esta conclusión se basa en similitudes en sus tácticas, comandos de cifrado, estructura de las notas de rescate y el uso de herramientas como LOLbins y software de administración remota (RMM).

Otras agencias que participaron en la Operación Checkmate fueron: el Servicio Secreto de EE. UU., la Policía Nacional de Países Bajos, la Policía Federal de Alemania, la Agencia Nacional contra el Crimen del Reino Unido (NCA), la Fiscalía de Frankfurt, y la Policía Cibernética de Ucrania.

Infosecurity Magazine contactó tanto a la NCA como al DoJ, pero al momento de la publicación, ninguna agencia ha confirmado oficialmente la intervención.

Fuente: https://www.infosecurity-magazine.com/news/blacksuit-ransomware-sites-seized